AWS Lambda Funzioni di scansione con Amazon Inspector - Amazon Inspector
Comportamenti di scansione per la scansione della funzione LambdaRuntime e funzioni supportatiScansione standard LambdaScansione del codice Lambda

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Lambda Funzioni di scansione con Amazon Inspector

Il supporto di Amazon Inspector per AWS Lambda funzioni e livelli fornisce valutazioni automatiche e continue delle vulnerabilità di sicurezza. Amazon Inspector offre due tipi di scansione della funzione Lambda:

Scansione standard Amazon Inspector Lambda

Questo è il tipo di scansione Lambda predefinito. La scansione standard Lambda analizza le dipendenze delle applicazioni all'interno di una funzione Lambda e i livelli per individuare le vulnerabilità dei pacchetti.

Scansione del codice Amazon Inspector Lambda

Questo tipo di scansione analizza il codice dell'applicazione personalizzato nella funzione Lambda e nei livelli per individuare eventuali vulnerabilità del codice. È possibile attivare la scansione standard Lambda o attivare la scansione standard Lambda con la scansione del codice Lambda.

Quando attivi la scansione della funzione Lambda, Amazon Inspector crea i AWS CloudTrail seguenti canali collegati ai servizi nel tuo account: e. cloudtrail:CreateServiceLinkedChannel cloudtrail:DeleteServiceLinkedChannel Amazon Inspector gestisce questi canali e li utilizza per monitorare i tuoi CloudTrail eventi per le scansioni. Questi canali ti consentono di vedere CloudTrail gli eventi nel tuo account come se avessi una traccia. CloudTrail Ti consigliamo di creare un percorso personalizzato CloudTrail per gestire gli eventi del tuo account.

Per informazioni su come attivare la scansione della funzione Lambda, vedere Attivazione di un tipo di scansione. Questa sezione fornisce informazioni sulla scansione della funzione Lambda.

Comportamenti di scansione per la scansione della funzione Lambda

Al momento dell'attivazione, Amazon Inspector analizza tutte le funzioni Lambda richiamate o aggiornate negli ultimi 90 giorni nel tuo account. Amazon Inspector avvia scansioni di vulnerabilità delle funzioni Lambda nelle seguenti situazioni:

  • Non appena Amazon Inspector rileva una funzione Lambda esistente.

  • Quando si distribuisce una nuova funzione Lambda nel servizio Lambda.

  • Quando si implementa un aggiornamento al codice dell'applicazione o alle dipendenze di una funzione Lambda esistente o dei relativi livelli.

  • Ogni volta che Amazon Inspector aggiunge un nuovo elemento Common Vulnerabilities and Exposures (CVE) al suo database, e ciò CVE è rilevante per la tua funzione.

Amazon Inspector monitora ogni funzione Lambda per tutta la sua durata fino a quando non viene eliminata o esclusa dalla scansione.

Puoi verificare quando una funzione Lambda è stata verificata l'ultima volta per rilevare eventuali vulnerabilità dalla scheda Funzioni Lambda nella pagina Gestione account oppure utilizzando. ListCoverageAPI Amazon Inspector aggiorna il campo Last scanned at per una funzione Lambda in risposta ai seguenti eventi:

  • Quando Amazon Inspector completa una scansione iniziale di una funzione Lambda.

  • Quando viene aggiornata una funzione Lambda.

  • Quando Amazon Inspector esegue nuovamente la scansione di una funzione Lambda perché un CVE nuovo elemento che influisce su tale funzione è stato aggiunto al database Amazon Inspector.

Runtime e funzioni idonee supportati

Amazon Inspector supporta diversi runtime per la scansione standard Lambda e la scansione del codice Lambda. Per un elenco dei runtime supportati per ogni tipo di scansione, consulta e. Runtime supportati: scansione standard di Amazon Inspector Lambda Runtime supportati: scansione del codice Amazon Inspector Lambda

Oltre a disporre di un runtime supportato, una funzione Lambda deve soddisfare i seguenti criteri per essere idonea alle scansioni di Amazon Inspector:

  • La funzione è stata richiamata o aggiornata negli ultimi 90 giorni.

  • La funzione è contrassegnata$LATEST.

  • La funzione non è esclusa dalle scansioni per tag.

Nota

Le funzioni Lambda che non sono state richiamate o modificate negli ultimi 90 giorni vengono automaticamente escluse dalle scansioni. Amazon Inspector riprenderà la scansione di una funzione esclusa automaticamente se viene richiamata nuovamente o se vengono apportate modifiche al codice della funzione Lambda.

Scansione standard Amazon Inspector Lambda

La scansione standard di Amazon Inspector Lambda identifica le vulnerabilità del software nelle dipendenze dei pacchetti applicativi che aggiungi al codice e ai livelli della funzione Lambda. Ad esempio, se la funzione Lambda utilizza una versione del python-jwt pacchetto con una vulnerabilità nota, la scansione standard Lambda genererà un risultato per quella funzione.

Se Amazon Inspector rileva una vulnerabilità nelle dipendenze dei pacchetti applicativi della funzione Lambda, Amazon Inspector fornisce una ricerca dettagliata del tipo di vulnerabilità del pacchetto.

Per istruzioni sull'attivazione di un tipo di scansione, consulta. Attivazione di un tipo di scansione

Nota

La scansione standard Lambda non analizza la AWS SDK dipendenza installata di default nell'ambiente di runtime Lambda. Amazon Inspector analizza solo le dipendenze caricate con il codice della funzione o ereditate da un livello.

Nota

La disattivazione della scansione standard di Amazon Inspector Lambda disattiverà anche la scansione del codice Amazon Inspector Lambda.

Esclusione delle funzioni dalla scansione standard Lambda

Puoi etichettare determinate funzioni per escluderle dalle scansioni standard di Amazon Inspector Lambda. L'esclusione di funzioni dalle scansioni può aiutare a prevenire avvisi non utilizzabili.

Per escludere una funzione Lambda dalla scansione standard Lambda, contrassegna la funzione con la seguente coppia chiave-valore:

  • Chiave: InspectorExclusion

  • Valore: LambdaStandardScanning

Per escludere una funzione dalla scansione standard Lambda

  1. Accedi utilizzando le tue credenziali, quindi apri la console Lambda all'indirizzo. https://console.aws.amazon.com/lambda/

  2. Seleziona Funzioni.

  3. Dalla tabella delle funzioni, seleziona il nome di una funzione che desideri escludere dalla scansione standard di Amazon Inspector Lambda.

  4. Seleziona Configurazione e scegli Tag dal menu.

  5. Seleziona Gestisci tag, quindi Aggiungi nuovo tag.

  6. Nel campo Chiave, inserisciInspectorExclusion, quindi nel campo Valore, inserisciLambdaStandardScanning.

  7. Seleziona Salva per aggiungere il tag ed escludere la funzione dalla scansione standard di Amazon Inspector Lambda.

Per ulteriori informazioni sull'aggiunta di tag in Lambda, consulta Uso dei tag nelle funzioni Lambda.

Scansione del codice Amazon Inspector Lambda

Importante

Questa funzionalità acquisisce anche frammenti di funzioni Lambda per evidenziare le vulnerabilità rilevate e questi frammenti potrebbero mostrare credenziali codificate o altri materiali sensibili in testo non crittografato.

La scansione del codice Lambda analizza il codice applicativo personalizzato in una funzione Lambda alla ricerca di vulnerabilità del codice basate sulle migliori pratiche di AWS sicurezza e in grado di rilevare quanto segue:.

  • Difetti di iniezione

  • Fughe di dati

  • Crittografia debole

  • Crittografia mancante nel codice

Per informazioni sulle regioni disponibili, consultaDisponibilità di funzionalità specifiche per ogni regione.

Nota

È possibile attivare la scansione del codice Lambda insieme alla scansione standard Lambda.

Amazon Inspector utilizza il ragionamento automatico e l'apprendimento automatico per valutare il codice applicativo della funzione Lambda e i rilevatori interni sviluppati in collaborazione con Amazon CodeGuru per identificare violazioni e vulnerabilità delle policy. Per un elenco di possibili rilevamenti, consulta la Detector Library. CodeGuru

Se Amazon Inspector rileva una vulnerabilità nel codice dell'applicazione della funzione Lambda, produce un tipo di rilevamento della vulnerabilità del codice. Questo tipo di risultato include un frammento di codice che mostra il problema, specifica dove si trova il problema nel codice e suggerisce come risolverlo. Il suggerimento di correzione include blocchi di plug-and-play codice che è possibile utilizzare per sostituire righe di codice vulnerabili. Le correzioni di codice suggerite vengono fornite in aggiunta alle indicazioni generali sulla correzione del codice per questo tipo di risultato.

I suggerimenti per la correzione del codice si basano su servizi di ragionamento automatico e intelligenza artificiale generativa e potrebbero non funzionare come previsto. Tuttavia, sei responsabile dei suggerimenti per la correzione del codice che adotti. Esamina sempre i suggerimenti per la correzione del codice prima di adottarli, poiché potresti dover apportare modifiche per garantire che il codice funzioni come previsto. Per ulteriori informazioni, consulta la Politica sull'IA responsabile.

Crittografia del codice nei risultati delle vulnerabilità del codice

CodeGuru memorizza frammenti di codice rilevati in relazione a una vulnerabilità del codice rilevata mediante la scansione del codice Lambda.

Per impostazione predefinita, CodeGuru controlla la chiave AWS di proprietà utilizzata per crittografare il codice. Tuttavia, puoi utilizzare la tua chiave gestita dal cliente per la crittografia tramite Amazon InspectorAPI. Per ulteriori informazioni, consulta Crittografia inattiva per il codice contenuto nei risultati.

La scansione del codice Lambda può essere attivata con la scansione standard Lambda. Per istruzioni sull'attivazione di un tipo di scansione, vedere. Attivazione di un tipo di scansione

Esclusione delle funzioni dalla scansione del codice Lambda

Per interrompere la ricezione di avvisi che non sono utilizzabili, puoi taggare le funzioni Lambda che desideri escludere dalla scansione del codice Lambda.

Quando tagghi una funzione Lambda che desideri escludere dalla scansione del codice Lambda, usa la seguente coppia chiave-valore:

  • Chiave - InspectorCodeExclusion

  • Valore: LambdaCodeScanning

La procedura seguente descrive come eseguire questa operazione in modo più dettagliato.

Per escludere una funzione dalla scansione del codice Lambda

  1. Accedi utilizzando le tue credenziali, quindi apri la console Lambda all'indirizzo. https://console.aws.amazon.com/lambda/

  2. Seleziona Funzioni.

  3. Dalla tabella delle funzioni, seleziona il nome di una funzione che desideri escludere dalla scansione del codice di Amazon Inspector Lambda.

  4. Scegli Configuration (Configurazione), quindi Tags (Tag).

  5. Scegli Gestisci i tag e poi sceglie Aggiungi un nuovo tag.

  6. Nel campo Chiave, inserisci. InspectorCodeExclusion Nel campo Valore, immettereLambdaCodeScanning.

  7. Scegli Salva per aggiungere il tag che esclude la tua funzione dalla scansione del codice Lambda.

Per ulteriori informazioni sull'aggiunta di tag in Lambda, consulta Using tags on Lambda functions nella Developer Guide.AWS Lambda